Файл: Системы информационной безопасности.docx

Эти инструменты и библиотеки предоставляют различные функциональные возможности для анализа, обработки и управления электронной почтой в Python. При разработке практической части дипломной работы, использование этих инструментов поможетвам в разработке pythonскрипта для анализа и распределенияэлектронныхсообщений в форматах .msgи .eml.

2 РАЗРАБОТКА МЕТОДИКИ ЗАЩИТЫ ОТ ЦЕЛЕВОГО ФИШИНГА

2.1 Формулирование требований к методике защиты от целевого фишинга
В разделе разработки методики защиты от целевого фишинга необходимо сформулировать требования, которым должна удовлетворять разрабатываемая методика. Для этого необходимо учесть особенности целевого фишинга и определить, какие аспекты следует учитывать при разработке методики защиты. Ниже приведены некоторые важные аспекты, которые можно учесть при формулировании требований:

1. Обнаружение целевого фишинга: Методика должна обладать возможностью обнаружения целевого фишинга в электронных сообщениях. Это может включать анализ заголовков и содержимого сообщений на предмет характеристик, типичных для фишинговых атак.

2. Распознавание признаков фишинговых сообщений: Методика должна определять признаки, характерные для фишинговых сообщений, такие как поддельные адреса электронной почты отправителя, неправильная форматирование или грамматические ошибки, подозрительные ссылки или вложения и т.д.

3. Анализ и оценка уровня риска: Методика должна проводить анализ и оценку уровня риска фишингового сообщения, чтобы определить, насколько оно может быть опасным для организации или пользователя. Это может включать проверку доменов, проверку подлинности отправителя и оценку содержимого сообщения.

4. Уведомление пользователей: Методика должна предусматривать механизм уведомления пользователей о потенциальных фишинговых атаках. Это может включать предупреждающие сообщения, обучающие материалы или другие меры для повышения осведомленности пользователей об угрозах фишинга.

5. Защита от взаимодействия с фишинговыми сообщениями: Методика должна предусматривать меры для предотвращения взаимодействия пользователей с фишинговыми сообщениями. Это может включать блокировку опасных ссылок, предупреждения при попытке открытия подозрительных вложений или блокировку доступа к фишинговым веб-сайтам.

---

6. Обновление и адаптация методики: Методика должна быть гибкой и способной адаптироваться к новым видам и методам целевого фишинга. Она должна предусматривать регулярное обновление и анализ новых угроз, чтобы эффективно защищать от них.

7. Интеграция с существующими системами безопасности: Методика должна быть совместима и интегрирована с существующими системами безопасности организации. Это позволит эффективно обмениваться информацией и координировать действия по предотвращению фишинговых атак.

8. Отчетность и аналитика: Методика должна предусматривать возможность генерации отчетов и аналитики по обнаруженным фишинговым атакам. Это позволит оценить эффективность методики и принять меры для дальнейшего улучшения системы защиты.

9. Масштабируемость и производительность: Методика должна быть способна обрабатывать большой объем электронных сообщений в режиме реального времени без значительного снижения производительности системы. Это позволит эффективно обнаруживать и реагировать на фишинговые атаки даже при высокой нагрузке.

10. Обучение и обновление моделей: Методика должна включать механизмы обучения и обновления моделей анализа, основанных на машинном обучении. Это позволит системе активно извлекать знания из новых фишинговых атак и адаптироваться к изменяющимся сценариям фишинга.

11. Контроль ложноположительных и ложноотрицательных срабатываний: Методика должна минимизировать количество ложноположительных и ложноотрицательных срабатываний, чтобы обеспечить высокую точность обнаружения фишинговых атак и снизить нагрузку на аналитиков безопасности.

12. Управление и анализ угроз: Методика должна предоставлять средства для управления и анализа обнаруженных фишинговых атак. Это включает возможность классификации, категоризации и приоритизации угроз для эффективного управления реакцией на инциденты.

13. Соответствие нормативным требованиям: Методика должна соответствовать применимым нормативным требованиям в области безопасности информации и защиты персональных данных, таким как GDPR, HIPAA и другим.

14. Обучение пользователей: Методика должна предусматривать меры для обучения пользователей, чтобы они могли лучше распознавать фишинговые атаки и принимать соответствующие меры предосторожности при обработке электронных сообщений.

15. Автоматизация процессов: Методика должна предусматривать автоматизацию процессов обнаружения и реагирования на фишинговые атаки

---

, чтобы сократить время реакции и повысить эффективность защиты.Многоуровневая защита: Методика должна использовать многоуровневый подход к защите от фишинга, включающий технические меры (например, антивирусное программное обеспечение, фильтры электронной почты) и организационные меры (например, политики безопасности, обучение персонала).Следование лучшим практикам: Методика должна учитывать лучшие практики и рекомендации в области защиты от фишинга, определенные организациями и стандартами, такими как NIST, OWASP и другими.Контроль доступа и аутентификация: Методика должна включать механизмы контроля доступа и аутентификации, чтобы предотвратить несанкционированный доступ к электронным сообщениям и предупредить подделку отправителя.

Учитывая эти аспекты, необходимо сформулировать конкретные требования к методике защиты от целевого фишинга, которые будут определять основу для разработки и реализации практической части дипломной работы.
2.2Описание алгоритмов для анализа и обработки сообщений
Для разработки методики защиты от целевого фишинга в автоматизированной системе, необходимо описать алгоритмы для анализа и обработки сообщений. Вот подробное описание алгоритмов с примерами кода:

1. Алгоритм анализа заголовков сообщений:

а) Получение заголовков сообщения: С помощью библиотеки `email` в Python можно получить заголовки сообщения из файлов форматов .msg и .eml. Ниже приведен пример кода:

```python

import email

def get_message_headers(message_file):

with open(message_file, 'r') as f:

msg = email.message_from_file(f)

headers = dict(msg.items())

return headers

```

б) Анализ заголовков: Полученные заголовки могут быть проанализированы для выявления подозрительных признаков. Например, можно проверить подлинность отправителя, сравнивая домен электронной почты с известными доменами организации. Примеркода:

```python

def analyze_headers(headers):

sender_email = headers['From']

sender_domain = sender_email.split('@')[1]

known_domains = ['example.com', 'company.com', 'organization.org']

if sender_domain not in known_domains:

print("Подозрительный отправитель!")

```

2. Алгоритм анализа содержимого сообщений:

а) Получение содержимого сообщения: С использованием библиотеки `email`, можно получить тело сообщения из файлов форматов .msg и .eml. Пример кода:

``python

def get_message_body(message_file):

with open(message_file, 'r') as f:

msg = email.message_from_file(f)

body = ''

if msg.is_multipart():

for part in msg.get_payload():

if part.get_content_type() == 'text/plain':

---

body = part.get_payload()

break

else:

body = msg.get_payload()

return body

```

б) Анализ содержимого: Полученное содержимое сообщения может быть проанализировано с помощью регулярных выражений или других методов для поиска ключевых слов или фраз, характерных для фишинговых атак. Например, можно искать ссылки на поддельные веб-сайты или запросы личной информации. Пример кода:

```python

importre

defanalyze_content(body):

# Поиск подозрительных ссылок

suspicious_links = re.findall(r'http[s]?://(?:[a-zA-Z]|[0-9]|[$-_@.&+]|[!*\\(\\),]|(?:%[0-9a-fA-F][0-9a-fA-F]))+', body)

if suspicious_links:

print("Найденыподозрительныессылки:", suspicious_links)

```

Это примерные алгоритмы применимые к программе по обнаружению целевого фишинга через сообщения.
2.3 Определение метрик и критериев для оценки эффективности методики
Ежедневная обработка информации, в том числе и конфиденциальной, сопряжена с определёнными рисками. Ежегодно уровень угрозы информации возрастает, злоумышленники постоянно меняют способы по краже, искажению или уничтожению информации.

Рассмотрим процесс работы с информацией на примере процесса создания бюджета на очередной финансовый год Для описания процесса формирования бюджета на очередной финансовый год была задействована методология BPMN.

Во время повседневной работы внутри организации происходит обмен данными. В результате анализа текущей политики информационной безопасности и выявленных уязвимостей, можно сделать заключение, что процесс обмена данными внутри организации небезопасен.

В разделе определения метрик и критериев для оценки эффективности методики защиты от целевого фишинга, необходимо учесть основные аспекты, которые помогут оценить эффективность разработанного решения.
Таблица 1 – Оценить эффективность разработанного решения

Вирус	Антивирусы
	McAfee Internet Security	Norton Security	Panda Internet Security	Microsoft Security Essentials	Avast! Internet Security	Kaspersky Internet Security	Dr. Web Security Space Pro
APT	-	+	+	+	+	+	+
Cidox	-	-	-	-	+	+	+
Powelix	-	+	-	+	-	+	-
Backboot	-	-	-	-	+	+	+
WMIGhos	-	-	-	-	-	+	-
Stoned	+	+	-	+	+	+	+
Pihar	-	-	-	-	-	+	+
SST	-	-	-	-	+	+	+
Zeroaccess	-	+	-	+	+	+	+
Итог	1/9	4/9	1/9	4/9	6/9	9/9	7/9

---

В таблице 1 знаком (+) означает, что антивирус успешно устранил вредоносное ПО и при это сохранил работоспособность системы. Знак (-) означает, что антивирус не смог устранить вредоносное ПО или работоспособность системы была частично или полностью нарушена.

Таблица 2 – Сравнение

Вирус	Антивирусы
	McAfee Internet Security	Norton Security	Panda Internet Security	Microsoft Security Essentials	Avast! Internet Security	Kaspersky Internet Security	Dr. Web Security Space Pro
Лицензия	платная	бесплатная	бесплатная	бесплатная	бесплатная	платная	платная
Стоимость	1899	-	-	-	-	1340	1200
Язык	Рус.	Рус.	Рус.	Рус.	Рус.	Рус.	Рус.

---